abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 17:44 | Nová verze

Po půl roce vývoje od vydání verze 40 bylo vydáno GNOME 41 (YouTube). Přehled novinek i s náhledy v poznámkách k vydání a v novinkách pro vývojáře a správce systémů.

Ladislav Hagara | Komentářů: 5
dnes 15:11 | Nová verze

Mobilní Datovka, tj. svobodná mobilní aplikace pro přístup k datovým schránkám, byla vydána ve verzi 1.13.0. Existuje-li více možností platby za poštovní datovou zprávu, je nově uživateli při odesílání datové zprávy umožněn výběr způsobu platby.

Ladislav Hagara | Komentářů: 0
dnes 09:00 | Nová verze

Google Chrome 94 byl prohlášen za stabilní. Nejnovější stabilní verze 94.0.4606.54 přináší řadu oprav a vylepšení (YouTube). Zdůraznit lze WebCodecs a WebGPU. Opraveno bylo 19 bezpečnostních chyb. Vylepšeny byly také nástroje pro vývojáře (YouTube). Nově lze nastavit preferovaný jazyk.

Ladislav Hagara | Komentářů: 0
dnes 08:00 | Nová verze

UBports, nadace a komunita kolem Ubuntu pro telefony a tablety Ubuntu Touch (seznam podporovaných zařízení), vydala Ubuntu Touch OTA-19. Nejnovější verze je pořád založena na Ubuntu 16.04. Pracuje se na přechodu na Ubuntu 20.04.

Ladislav Hagara | Komentářů: 0
dnes 07:00 | Komunita

Canonical prodloužil podporu Ubuntu 14.04 LTS (Trusty Tahr) a 16.04 LTS (Xenial Xerus) na 10 let. Ubuntu 14.04 je tedy podporováno do dubna 2024 a Ubuntu 16.04 do dubna 2026.

Ladislav Hagara | Komentářů: 4
včera 20:44 | Zajímavý projekt

Konsorcium Linux Foundation oznámilo, že bude hostovat projekt PaSh. Cílem PaSh je automatizovaná paralelizace skriptů v POSIX shellech.

Ladislav Hagara | Komentářů: 0
včera 20:11 | Zajímavý článek

Bjorn Stahl v obsáhlém zápisku rozebírá architekturu alternativního grafického frameworku a serveru Arcan z pohledu návrhu operačního systému.

Fluttershy, yay! | Komentářů: 3
včera 15:44 | Nová verze

Byla vydána verze 3.12 prohlížeče obrázků gThumb (Wikipedie, GitLab). Z novinek lze zdůraznit například přidání podpory AVIF, HEIF a JPEG XL.

Ladislav Hagara | Komentářů: 0
včera 12:11 | Nová verze

Byla vydána nová verze 5.5 programovacího jazyka Swift (Wikipedie). Zdrojové kódy jsou k dispozici na GitHubu. Ke stažení jsou oficiální binární balíčky pro Ubuntu 16.04, Ubuntu 18.04, Ubuntu 20.04, CentOS 7, CentOS 8 a Amazon Linux 2.

Ladislav Hagara | Komentářů: 0
včera 09:00 | Komunita

Do pátku probíhá konference vývojářů Linuxu aneb linuxových instalatérů Linux Plumbers Conference 2021 (LPC 2021). Přednášky lze sledovat online.

Ladislav Hagara | Komentářů: 1
Dotykový displej na notebooku nebo desktopu
 (35%)
 (7%)
 (6%)
 (52%)
Celkem 482 hlasů
 Komentářů: 11, poslední 18.9. 18:45
Rozcestník

Nette CVE-2020–15227 testing tool

9.10.2020 05:45 | poslední úprava: 9.10.2020 16:19

Ahoj!

Dneska jen strucne, pripravil jsem tool na testovani zda li je web nachylny na bezpecnostni chybu v Nette frameworku CVE-2020–15227...
Tool je dostupny na:
https://salamek.cz/nette-test.php?url=https://example.com
kde parametr url je URL na root testovaneho webu napsaneho v Nette.

PS: Zdrojak neni dostupny z duvodu zamezeni zneuziti nejakymi script kiddies, a ti schopnejsi na to prijdou z GIT diffu nebo access.log... Tool vznikl z duvodu otestovani mnou provozovanych webu pred/po aplikaci patche
2020-10-09 14:16:40 UTC: Pridano info co jednotlive testy delaji a pridan zdrojak payload souboru a hook endpointu        

Hodnocení: 83 %

        špatnédobré        

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

9.10.2020 08:38 bigBRAMBOR | skóre: 36
Rozbalit Rozbalit vše Re: Nette CVE-2020–15227 testing tool
hacknete si sami misto me svuj server :-D
9.10.2020 08:45 Aleš Kapica | skóre: 50 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Nette CVE-2020–15227 testing tool
A jak myslíš, že se to dělá? Za sebe musím říct, že pokud bych si nechal dělat audit na web, tak pro jistotu současně od dvou vzájemně nezávislých subjektů, protože nemůžeš vědět, jestli ten jeden něco neopomene, či ještě hůř, ten tvůj web nenainfikuje.
9.10.2020 09:43 bigBRAMBOR | skóre: 36
Rozbalit Rozbalit vše Re: Nette CVE-2020–15227 testing tool
ano, pokud na to mas firmu na audit, sepisete o tom nejakou smlouvu, sankce, NDA - pustit neco z linku ulozeneho na abclinuxu.cz jako, ze to otestuje server, ale zdrojaky neukazu je krajne rizikove chovani
9.10.2020 10:01 Aleš Kapica | skóre: 50 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Nette CVE-2020–15227 testing tool
To nerozporuji. Ale chápu, proč ty zdrojáky nechce dát veřejně k dispozici. Předpokládám, vzhledem k jeho poznámce, že autoři nette už tu chybu opravili, takže řešil situaci jak upozornit ty, co ten framework používají, že by měli ve vlastním zájmu udělat upgrade. Bohužel je fakt, byť smutný, že si firmy nechají splácat od někoho web a ten běží v nějakém kontejneru tak dlouho, dokud ho někdo nenabourá. Jen málokdo provozuje nějaký web a průběžně ho aktualizuje. Já to dělám jen v případě že si to něco vynutí. Většinou je ekonomicky přijatelnější si nechat od někoho jiného splácat web nový.
Salamek avatar 9.10.2020 13:42 Salamek | skóre: 22 | blog: salamovo
Rozbalit Rozbalit vše Re: Nette CVE-2020–15227 testing tool
test nijak nemeni kod ciloveho webu ani nepridava zadny explot etc. overit si to muzes nasmerovanim testu na web kde mas pristup k access.log a uvidis co to dela, vse to jsou GET requesty...
Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.
9.10.2020 19:04 bigBRAMBOR | skóre: 36
Rozbalit Rozbalit vše Re: Nette CVE-2020–15227 testing tool
coz zjistim z logu az to provedu. Jde uplne jasne o socialni hacking, spuste si sami kod na hacknuti stranky, neco jako kdysi ten veselej vir, vzhledem k zaostalosti nasi zeme vam nemuzeme nijak ublizit, prosim smazte si nejake soubory a poslete me dal.
9.10.2020 19:46 jiwopene | skóre: 28 | blog: Od každého trochu…
Rozbalit Rozbalit vše Re: Nette CVE-2020–15227 testing tool
Je možné si to spustit nad nějakou testovací instancí toho, co chcete testovat, ve virtuálu (a s omezenou sítí, …) a potom totéž ověřit a zopakovat manuálně tam, kde potřebujete.
.sig virus 3.2_cz: Prosím, okopírujte tento text do vaší patičky.
Salamek avatar 9.10.2020 21:11 Salamek | skóre: 22 | blog: salamovo
Rozbalit Rozbalit vše Re: Nette CVE-2020–15227 testing tool
Ehm nemam problem napsat crawler a za ~24h projet cely cesky internet... ale proc bych to delal kdyz nejsem cracker ani zlodej?
Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.
Josef Kufner avatar 9.10.2020 19:41 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Nette CVE-2020–15227 testing tool
GET neznamená, že nemůže měnit data.
Hello world ! Segmentation fault (core dumped)
Salamek avatar 9.10.2020 21:08 Salamek | skóre: 22 | blog: salamovo
Rozbalit Rozbalit vše Re: Nette CVE-2020–15227 testing tool
No Shit Sherlock, bylo to mysleno tak ze v access.log jde u GET requestu videt vse, u POST nevidis body
Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.
10.10.2020 00:04 Cabrón
Rozbalit Rozbalit vše Re: Nette CVE-2020–15227 testing tool
I to se dá, např. v nginx stačí někde definovat log_format postdata $request_body; a potom v příslušném server nebo location bloku mít access_log /var/log/www/moje-super-nette-aplikace.log postdata;
Max avatar 9.10.2020 08:41 Max | skóre: 69 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Nette CVE-2020–15227 testing tool
Tak Salámkovi se dá věřit...pokud mu věříte :).
Zdar Max
Měl jsem sen ... :(
Josef Kufner avatar 9.10.2020 09:42 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Nette CVE-2020–15227 testing tool
Poskytneš pak nějaké zajímavé statistiky z nasbíraných dat?
Hello world ! Segmentation fault (core dumped)
Salamek avatar 9.10.2020 13:37 Salamek | skóre: 22 | blog: salamovo
Rozbalit Rozbalit vše Re: Nette CVE-2020–15227 testing tool
Nesbiram zadna data krome access.log ktery generuje nginx.
test id slouzi pouze k internimu porovnani request/response request/hook... data hooku jsou mazana hned po provedeni testu...
Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.
9.10.2020 11:39 debian+ | skóre: 25 | blog: analyzy
Rozbalit Rozbalit vše Re: Nette CVE-2020–15227 testing tool
Dik.
debian.plus@protonmail.com
9.10.2020 19:36 kvr
Rozbalit Rozbalit vše Re: Nette CVE-2020–15227 testing tool
Snaha dobrá, ale script kiddies to asi příliš neomezí. Nechcu malovat čerta na zeď, ale i bez zdrojáků lze celkem snadno zjistit, co to asi dělá...

Jinak, expert na Nette nejsem, ale přijde mi ten fix jako z bláta do louže. V JEE jsou na interní věci request attributes a něco takového se tam nemůže stát. Tohle je v principu chyba návrhu. Chápu, že vyřešit to správně by potenciálně znamenalo rozbít existující systémy (tedy, pokud to někdo využívá).
Salamek avatar 9.10.2020 21:16 Salamek | skóre: 22 | blog: salamovo
Rozbalit Rozbalit vše Re: Nette CVE-2020–15227 testing tool
Dyt to tam pisu ze schopejsi lidi si to zjisti z GIT diffu nebo access.log, jde mi to jim to nenaservirovat na taliri
Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.
9.10.2020 22:04 Odin1918 | skóre: 5 | blog: Valhalla
Rozbalit Rozbalit vše Re: Nette CVE-2020–15227 testing tool
Jo, at zije sablonovaci jazyk php. :-D
10.4. 14:46 Tilly Racker
Rozbalit Rozbalit vše Re: Nette CVE-2020–15227 testing tool
Bill byl dědicem ke jménu firmy Standard Oil guitar lessons near me
10.4. 14:57 Tilly Racker
Rozbalit Rozbalit vše Re: Nette CVE-2020–15227 testing tool
Protože vím, že je to pravda guitar lessons near me

Založit nové vláknoNahoru

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.